RANSOM_CRYPWALL.YUYAHM

Se conecta a un sitio Web para enviar y recibir información.

Este malware modifica la configuración de zona de Internet Explorer.

Instalación

Crea las siguientes copias de sí mismo en el sistema afectado:

• %Application Data%\{random characters}\{random characters}.exe

(Nota: %Application Data% es la carpeta Application Data del usuario activo, que en el caso de Windows 98 y ME suele estar ubicada en C:\Windows\Profiles\{nombre de usuario}\Application Data, en el caso de Windows NT en C:\WINNT\Profiles\{nombre de usuario}\Application Data y en el caso de Windows 2000, XP y Server 2003 en C:\Documents and Settings\{nombre de usuario}\Local Settings\Application Data).

Infiltra los archivos siguientes:

• %User Startup%\INSTRUCTIONS_{RANDOM HEX}.html
• %User Startup%\INSTRUCTIONS_{RANDOM HEX}.png
• %User Startup%\INSTRUCTIONS_{RANDOM HEX}.txt
• {Drive Letter}:\INSTRUCTIONS_{RANDOM HEX}.png

(Nota: %User Startup% es la carpeta Inicio del usuario activo, que en el caso de Windows 98 y ME suele estar en C:\Windows\Profiles\{nombre de usuario}\Menú Inicio\Programas\Inicio, en el caso de Windows NT en C:\WINNT\Profiles\{nombre de usuario}\Menú Inicio\Programas\Inicio y en C:\Documents and Settings\{nombre de usuario}\Menú Inicio\Programas\Inicio).

Infiltra y ejecuta los archivos siguientes:

• %Desktop%\INSTRUCTIONS_{RANDOM HEX}.html
• %Desktop%\INSTRUCTIONS_{RANDOM HEX}.png
• %Desktop%\INSTRUCTIONS_{RANDOM HEX}.txt

(Nota: %Desktop% es la carpeta Escritorio del usuario activo, que en el caso de Windows 98 y ME suele estar en C:\Windows\Profiles\{nombre de usuario}\Escritorio, en el caso de Windows NT en C:\WINNT\Profiles\{nombre de usuario}\Escritorio y en el caso de Windows 2000, XP y Server 2003 en C:\Documents and Settings\{nombre de usuario}\Escritorio).

Agrega los procesos siguientes:

• svchost.exe

Este malware se inyecta en los siguientes procesos que se ejecutan en la memoria:

• created svchost.exe

Técnica de inicio automático

Agrega las siguientes entradas de registro para permitir su ejecución automática cada vez que se inicia el sistema:

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Run
{random characters} = "%Application Data%\{random characters}\{random characters}.exe"

Rutina de puerta trasera

Se conecta a los sitios Web siguientes para enviar y recibir información:

• {BLOCKED}relampago.com.br/4jiPBG.php
• {BLOCKED}ekinci.biz/Hg3V8b.php
• {BLOCKED}gou.com/Pfy2Qs.php
• {BLOCKED}info/zYNKoq.php
• {BLOCKED}.sk/g3lfoj.php
• {BLOCKED}.com.br/SGJ_Fr.php
• {BLOCKED}ka.com.ua/tjhW2B.php
• {BLOCKED}p.pl/Si0cCJ.php
• {BLOCKED}ness.be/fYvA5U.php
• {BLOCKED}trade.tk/12fDze.php
• {BLOCKED}bear.net/MRGKAC.php
• {BLOCKED}rtners.it/Dd6VPR.php
• {BLOCKED}kz/yMZFGp.php
• {BLOCKED}o.kz/LUoMqa.php
• {BLOCKED}ness.be/isB2Ac.php
• {BLOCKED}ster.kz/vUn1wz.php
• {BLOCKED}-anything.tk/PsdO76.php
• {BLOCKED}ka.com.ua/MVc9hg.php
• {BLOCKED}ightcr.com/tHja9Z.php
• {BLOCKED}y.kz/7_9SR6.php
• {BLOCKED}rticle.com/fZ1Y8M.php
• {BLOCKED}nat.ro/ZeNpML.php
• {BLOCKED}ldirim.net/zn9mur.php
• {BLOCKED}le.com.br/XAT7zH.php
• {BLOCKED}experto.pe/zOesbw.php
• {BLOCKED}orts4u.com/dfgOwA.php
• {BLOCKED}.pl/fFe_xr.php
• {BLOCKED}assescorts4u.com/Snuxg7.php
• {BLOCKED}entod.ua/I35pl6.php
• {BLOCKED}.kz/TSOXQL.php
• {BLOCKED}o.com.br/4A0Hw5.php
• {BLOCKED}dedon.com/CBRrYv.php
• {BLOCKED}gp.ir/U_ABoi.php
• {BLOCKED}obirlik.com/UxAK5e.php
• {BLOCKED}fishing.com/CXjq48.php
• {BLOCKED}music.nl/yBDEMc.php
• {BLOCKED}osautomotivos.com.br/KMYz1s.php
• {BLOCKED}ucatangob.mx/UIagAy.php
• {BLOCKED}sa.com/Zoe2aN.php
• {BLOCKED}rehberi.com/6JQEva.php
• {BLOCKED}hina.com/NSrcQE.php
• {BLOCKED}ouse.nl/iMVfC4.php
• {BLOCKED}radydrewniane.pl/Fcb7VZ.php
• {BLOCKED}anch.us/PtAg1I.php
• {BLOCKED}gloan.com/1vR9hu.php
• {BLOCKED}e-veza.sk/Owm50c.php
• {BLOCKED}om.tr/prkdzF.php
• {BLOCKED}rga.co/L8HU29.php
• {BLOCKED}lescorts4u.com/XqVFBm.php
• {BLOCKED}odalari.net/GnOLXh.php
• {BLOCKED}everka.sk/6RGZgC.php
• {BLOCKED}ociort.ro/6sZTLc.php

Modificación de la página de inicio y de la página de búsqueda del explorador Web

Este malware modifica la configuración de zona de Internet Explorer.

Otros detalles

Cifra los archivos con las extensiones siguientes:

• pdf
• pot
• xlt
• pps
• xlw
• dot
• rtf
• ppt
• xls
• doc
• xml
• htm
• html
• hta
• zip
• dvr-ms
• wvx
• wmx
• wmv
• wm
• mpv2
• mpg
• mpeg
• mpe
• mpa
• mp2v
• mp2
• m1v
• IVF
• asx
• asf
• wax
• snd
• rmi
• m3u
• au
• aiff
• aifc
• aif
• midi
• mid
• wma
• wav
• m p3
• wmf
• tiff
• tif
• rle
• png
• jpeg
• jpe
• jpg
• jfif
• ico
• gif
• emf
• dib
• bmp